Documentation sur Oracle Cloud Infrastructure

Aperçu du RPV site à site

Un RPV site à site fournit une connexion IPSec entre un réseau sur place et un réseau en nuage virtuel (VCN). La suite de protocoles IPSec chiffre le trafic IP avant que les paquets ne soient transférés de la source à la destination, et déchiffre le trafic à son arrivée. Un RPV site à site était autrefois appelé connexion RPV et RPV IPSec.

Il existe d'autres solutions RPV sécurisées; par exemple, OpenVPN, solution RPV client accessible sur Oracle Marketplace. OpenVPN connecte des appareils individuels à un VCN, mais non des sites ou des réseaux entiers.

Cette rubrique présente un aperçu du RPV site à site pour un VCN. Pour les scénarios qui incluent RPV site à site, voir Scénario B : Sous-réseau privé avec un RPV et Scénario C : Sous-réseaux publics et privés avec un.

Pour plus d'informations sur les limites, voir Limites de RPV site-à-site et Demande d'une augmentation de limite de service.

Connaissances et personnel requis

En général, les types de personnel suivants sont impliqués dans la configuration de RPV site à site avec Oracle Cloud Infrastructure :

  • Un membre de l'équipe Dev Ops (ou fonction similaire) qui utilise Oracle Cloud InfrastructureConsole pour configurer les composants en nuage nécessaires au réseau virtuel et au RPV site à site.
  • Un ingénieur réseau (ou fonction similaire) qui configure l'équipement local d'abonné (CPE) à l'aide des informations fournies par le membre de l'équipe Dev Ops.
Conseil

Le membre de l'équipe Dev Ops doit avoir l'autorisation de créer et de gérer les composants en nuage. Si la personne est l'administrateur par défaut pour la location Oracle Cloud Infrastructure ou un membre du groupe Administrateurs, elle dispose de l'autorisation requise. Pour plus d'informations sur l'accès aux composants de réseau, voir Contrôle d'accès.

Le personnel doit connaître les concepts et définitions suivants :

RESSOURCES EN NUAGE
Tout ce que vous provisionnez sur une plate-forme en nuage. Par exemple, avec Oracle Cloud Infrastructure, une " ressource en nuage " peut être un réseau VCN, une instance de calcul, un utilisateur, un compartiment, un équilibreur de charge ou tout autre composant de service sur la plate-forme.
SUR PLACE
Terme très utilisé dans les technologies en nuage qui font référence aux environnements de centre de données traditionnels. Sur place peut signifier un scénario de colocalisation, un espace d'étage, un bâtiment de centre de données dédié ou un ordinateur de bureau.
IDENTIFICATEUR ORACLE CLOUD (OCID)
Identificateur unique affecté à chaque ressource que vous provisionnez sur Oracle Cloud Infrastructure. L'OCID est une chaîne longue qu'Oracle génère automatiquement. Vous ne pouvez pas sélectionner la valeur d'un OCID ou modifier celui d'une ressource. Pour plus d'informations, voir Identificateurs de ressource.

À propos de la connexion IPSec Oracle

En général, une connexion IPSec peut être configurée à l'aide des modes suivants :

  • Mode de transport : IPSec chiffre et authentifie seulement les données utiles réelles du paquet ; les informations d'en-tête restent intactes.
  • Mode tunnel (pris en charge par Oracle) : IPSec chiffre et authentifie l'ensemble du paquet. Après le chiffrement, le paquet est automatiquement encapsulé pour former un nouveau paquet IP aux informations d'en-tête différentes.

Oracle Cloud Infrastructure prend en charge le mode de tunnel pour les RPV IPSec uniquement.

Chaque connexion Oracle IPSec se compose de plusieurs tunnels IPSec redondants. Pour un tunnel spécifique, vous pouvez utiliser un routage dynamique BGP (Border Gateway Protocol) ou un routage statique pour diriger le trafic de ce tunnel. Des détails supplémentaires sur le routage suivent.

Les tunnels RPV IPSec site à site offrent les avantages suivants :

  • Les lignes Internet publiques permettent d'envoyer les données. Ainsi, les lignes de location dédiées et coûteuses d'un site à un autre ne sont pas nécessaires.
  • Les adresses IP internes des réseaux et des noeuds participants sont masquées aux utilisateurs externes.
  • La communication complète entre les sites source et cible est chiffrée, ce qui réduit les risques de vol d'informations.

Routage de RPV site à site

Lorsque vous configurez RPV site à site, il possède deux tunnels IPSec redondants. Oracle vous encourage à configurer l'appareil CPE afin qu'il utilise les deux tunnels (si l'appareil prend en charge cette option). Notez qu'auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles, et vous sélectionnez le type séparément pour chaque tunnel IPSec dans un RPV site à site :

  • Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La DRG apprend dynamiquement les routes du réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
  • Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Détails de routage importants pour RPV site à site

Voici des détails importants concernant le routage pour un RPV site à site :

  • Choix de routage :

    • Initialement, RPV site à site ne prend en charge que le routage statique et vous devez fournir au moins une route statique pour la connexion IPSec globale.
    • Maintenant, deux types de routage différents sont disponibles (BGP et routage statique). Vous configurez le type de routage par tunnel. Un seul type de routage à la fois est pris en charge pour un tunnel particulier.
    • En général, nous vous encourageons à utiliser le même type de routage pour tous les tunnels d'une connexion IPSec. Une exception est que si vous effectuez la transition d'un routage statique à BGP, un tunnel peut continuer à utiliser temporairement le routage statique alors que l'autre est déjà passé à BGP.
    • Lorsque vous créez une connexion IPSec, le routage statique est sélectionné par défaut pour tous les tunnels, sauf si vous configurez explicitement chaque tunnel pour BGP.

  • Informations de routage requises :

    • Si vous sélectionnez BGP, pour chaque tunnel, vous devez fournir deux adresses IP (une pour chacun des deux intervenants BGP dans la session BGP du tunnel). Les adresses doivent figurer dans le domaine de chiffrement de la connexion IPSec. Vous devez également fournir le numéro de système autonome BGP (ASN BGP) du réseau sur place.
    • Si vous sélectionnez un routage statique, vous devez fournir au moins une route statique (maximum 10). Les routes statiques sont configurées avec la connexion IPSec globale, de sorte que le même jeu de routes statiques soit utilisé pour tous les tunnels de la connexion IPSec configurés pour le routage statique. Vous pouvez modifier les routes statiques à tout moment après avoir créé la connexion IPSec. Si vous faites PAT entre un CPE et un VCN, la route statique pour la connexion IPSec est l'adresse IP PAT. Voir Exemple de disposition avec PAT.
    • Si vous sélectionnez un routage statique, vous pouvez éventuellement indiquer une adresse IP pour chaque extrémité du tunnel à des fins de dépannage ou de surveillance du tunnel.
    • Si le tunnel est configuré pour BGP, les routes statiques de la connexion IPSec sont ignorées. Toutes les routes statiques associées à la connexion IPSec servent à diriger le trafic d'un tunnel particulier uniquement si ce tunnel est configuré pour utiliser le routage statique. Cela est particulièrement pertinent si vous disposez d'un RPV site à site qui utilise le routage statique mais que vous voulez utiliser BGP.

  • Modification du routage :

    • Pour faire passer un tunnel de BGP au routage statique, vous devez d'abord vous assurer que la connexion IPSec est elle-même associée à une route statique au moins.
    • Vous pouvez modifier le type de routage d'un tunnel à tout moment (à moins que le tunnel ne soit provisionné par Oracle). Bien que vous modifiiez le routage, le tunnel demeure actif (son statut IPSec ne change pas). Toutefois, le flux du trafic par le tunnel est interrompu temporairement lors du reprovisionnement et pendant que vous reconfigurez le CPE. Pour plus d'informations sur la modification du RPV site à site, voir Utilisation du RPV site à site.
    • Comme vous configurez le type de routage séparément pour chaque tunnel, si vous passez d'un RPV site à site du routage statique à BGP, il est préférable de le faire un tunnel à la fois. Ceci évite d'arrêter la totalité de la connexion IPSec. Pour obtenir des instructions, voir Passage du routage statique au routage dynamique BGP.

Annonces de route et préférences de chemin lorsque vous avez plusieurs connexions

Lorsque vous utilisez BGP, la passerelle DRG attachée à un VCN annonce les routes vers l'équipement local d'abonné.

Si vous configurez plusieurs connexions entre un réseau sur place et VCN, vous devez comprendre les routes que la passerelle DRG annonce et comment définir les préférences de chemin d'accès pour utiliser la connexion privilégiée.

Pour des informations importantes, voir Détails de routage des connexions au réseau sur place.

Préférence d'un tunnel particulier dans RPV site à site

Dans RPV site à site, vous pouvez influencer quel tunnel sera privilégié. Voici les éléments que vous pouvez configurer :

  • Préférence locale BGP de l'équipement local d'abonné : Si vous utilisez BGP, vous pouvez configurer l'attribut de préférence local BGP sur l'appareil CPE pour contrôler quel tunnel est privilégié pour les connexions démarrées d'un réseau sur place vers un VCN. Comme Oracle utilise un routage asymétrique, vous devez configurer d'autres attributs pour qu'Oracle puisse répondre sur ce même tunnel. Voir les deux éléments suivants.
  • Routes plus spécifiques sur le tunnel privilégié : vous pouvez configurer un CPE de manière à annoncer des routes plus spécifiques pour le tunnel que vous souhaitez privilégier. Oracle utilise la route avec la correspondance de préfixe la plus longue lors de la réponse aux connexions ou du démarrage de celles-ci.
  • Ajout de préfixe de chemin AS : BGP préfère le chemin AS le plus court. Si vous utilisez ce protocole, vous pouvez ajouter un préfixe au chemin AS pour contrôler quel tunnel offre le chemin le plus court pour une route spécifique. Oracle utilise le chemin AS le plus court lors de la réponse aux demandes ou lors du démarrage des connexions.

Aperçu des composants du RPV site à site

Si vous n'êtes pas encore familiarisé avec les composants de base du service Réseau, consultez Service de réseau avant de continuer.

Lorsque vous configurez un RPV site à site pour un VCN, vous devez créer plusieurs composants de réseau. Vous pouvez les créer à l'aide de la console ou de l'API. Voir le diagramme et la description des composants qui suivent.

Cette image présente les composants de RPV site à site
Légende 1 : Table de routage de VCN par défaut
CIDR de destination Cible de routage
0.0.0.0/0 DRG
objet cpe
Au niveau de l'extrémité sur place du RPV site à site se trouve l'appareil réel du réseau sur place (matériel ou logiciel). Le terme équipement local d'abonné (CPE) est couramment utilisé dans certains secteurs d'activité pour ce type d'équipement sur place. Lors de la configuration du RPV, vous devez créer une représentation virtuelle de l'appareil. Oracle appelle cette représentation un CPE, mais cette documentation utilise généralement l'objet CPE pour distinguer la représentation virtuelle de l'appareil même. L'objet CPE contient les informations de base sur l'appareil requises par Oracle. Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.
Passerelle de routage dynamique (DRG)
À la fin du RPV site à site d'Oracle, un routeur virtuel appelé passerelle de routage dynamique est la passerelle vers un réseau VCN à partir du réseau sur place. Que vous utilisiez des circuits virtuels privés RPV site à site ou les circuits virtuels privés d'Oracle Cloud Infrastructure FastConnect pour connecter le réseau sur place et le VCN, le trafic passe par la passerelle DRG. Pour plus d'informations, voir Passerelles de routage dynamique.
Un ingénieur de réseau pourrait assimiler la passerelle DRG à la tête du réseau privé virtuel. Après en avoir créé une, vous devez l'associer à un VCN, à l'aide de la console ou de l'API. Vous devez également ajouter une ou plusieurs règles de routage qui dirigent le trafic du VCN à la passerelle DRG. Sans cet attachement de passerelle DRG et les règles de routage, le trafic ne circule pas entre le réseau VCN et le réseau sur place. Vous pouvez à tout moment détacher la passerelle DRG d'un VCN, mais conserver tous les composants RPV restants. Vous pouvez ensuite rétablir l'association ou associer la passerelle DRG à un autre VCN.
connexion ipsec
Après la création de l'objet CPE et de la passerelle DRG, vous les connectez en créant une connexion IPSec, que vous pouvez considérer comme un objet parent qui représente le RPV site à site. La connexion IPSec possède son propre OCID . Lorsque vous créez ce composant, vous configurez le type de routage à utiliser pour chaque tunnel IPSec et fournissez les informations de routage connexes. Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.
TUNNEL
Un tunnel IPSec sert à chiffrer le trafic entre des points d'extrémité IPSec sécurisés. Oracle crée deux tunnels dans chaque connexion IPSec à des fins de redondance. Chacun possède son propre OCID . Nous vous recommandons de configurer l'appareil CPE afin qu'il prenne en charge les deux tunnels en cas de panne de l'un d'entre eux ou de sa maintenance par Oracle. Chaque tunnel dispose d'informations de configuration dont un ingénieur réseau a besoin lors de la configuration de votre appareil local d'abonné. Ces informations comprennent une adresse IP et un secret partagé, ainsi que des paramètres ISAKMP et IPSec. Vous pouvez utiliser l'application d'aide pour la configuration de l'équipement local d'abonné pour réunir les informations dont l'ingénieur réseau a besoin. Pour plus d'informations, voir Paramètres IPSec pris en charge et Équipements locaux d'abonné vérifiés.

Contrôle de l'accès pour les composants

Aux fins de contrôle d'accès, lorsque vous configurez RPV site à site, vous devez indiquer le compartiment dans lequel vous voulez que chacun des composants réside. Si vous ne savez pas quel compartiment utiliser, placez tous les composants dans celui du VCN. Notez que les tunnels IPSec figurent toujours dans le même compartiment que la connexion IPSec parent. Pour plus d'informations sur les compartiments et sur la restriction de l'accès aux composants de réseau, voir Contrôle de l'accès.

Noms et identificateurs de composant

Si vous le souhaitez, vous pouvez affecter un nom descriptif à chacun des composants lors de leur création. Ces noms n'ont pas besoin d'être uniques, mais il est recommandé d'utiliser des noms uniques dans une location. Évitez d'entrer des informations confidentielles. Oracle affecte automatiquement un OCID à chaque composant. Pour plus d'informations, voir Identificateurs de ressource.

Si l'équipement local d'abonné se trouve derrière un appareil NAT

En général, l'identificateur IKE de CPE configuré à l'extrémité sur place de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si un CPE est derrière un appareil NAT, l'identificateur IKE configuré à l'extrémité sur place peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.

Cette image présente le CPE derrière un appareil NAT, les adresses IP publiques et privées, ainsi que l'identificateur IKE de CPE.
Note

Certaines plates-formes CPE ne vous permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local du CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.

À propos du secret partagé de tunnel

Chaque tunnel a une clé secrète partagée. Par défaut, la clé secrète partagée du tunnel est affectée par Oracle, sauf si vous en fournissez une vous-même. Vous pouvez définir une clé secrète partagée pour chaque tunnel lorsque vous créez la connexion IPSec ou après la création des tunnels. Seuls les lettres, les chiffres et les espaces sont autorisés dans la clé secrète partagée. Si vous modifiez le secret partagé d'un tunnel existant, ce dernier s'arrête pendant son reprovisionnement.

Pour obtenir des instructions, voir Modification de la clé secrète partagée utilisée par un tunnel IPSec.

Ressources pour la configuration du CPE

Un ingénieur réseau doit configurer le CPE à l'extrémité sur place de la connexion IPSec. Pour lui faciliter la tâche, Oracle offre les ressources suivantes :

Pour plus d'informations, voir aussi Configuration de l'équipement local d'abonné.

Surveillance de la connexion

Vous pouvez surveiller l'état, la capacité et la performance des ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et d'avis. Pour plus d'informations, voir Surveillance et Avis.

Pour plus d'informations sur la surveillance de la connexion, voir Mesures du RPV site à site.